Il malware SmokeLoader ha recentemente riacquistato attenzione in Taiwan, prendendo di mira settori chiave come la produzione, la sanità e la tecnologia dell'informazione. Questo attacco sfrutta le capacità avanzate di evasione del malware, che è noto per la sua versatilità e il suo design modulare. SmokeLoader è stato inizialmente pubblicizzato nei forum del crimine informatico nel 2011 come un downloader di malware, ma nel corso degli anni è stato continuamente aggiornato per eseguire una vasta gamma di attacchi, tra cui il furto di dati e il mining di criptovalute.

La recente campagna di attacco

La recente campagna di attacco è iniziata con l'invio di email di phishing contenenti allegati Excel malevoli che sfruttano vulnerabilità di sicurezza ormai datate, come CVE-2017-0199 e CVE-2017-11882, per installare un loader di malware chiamato Ande Loader. Questo loader, a sua volta, distribuisce SmokeLoader sul sistema compromesso.

SmokeLoader opera attraverso due componenti principali: uno stager e un modulo principale. Lo stager è responsabile della decrittazione e dell'iniezione del modulo principale in un processo explorer.exe, mentre il modulo principale si occupa di stabilire la persistenza, comunicare con l'infrastruttura di comando e controllo, e processare i comandi ricevuti. Inoltre, SmokeLoader può essere configurato con diversi plugin per rubare credenziali di accesso, indirizzi email, cookies e altre informazioni da vari software come browser web, Outlook, Thunderbird, FileZilla e WinSCP.

Attività degli ultimi anni

Nonostante un significativo calo delle attività di SmokeLoader dopo l'Operazione Endgame, che ha portato allo smantellamento di oltre 1.000 domini di comando e controllo legati al malware, esso continua ad essere utilizzato dai gruppi di cybercriminali. Questo è in parte dovuto alla disponibilità di numerose versioni craccate del malware su Internet, che permettono ai malintenzionati di continuare a sfruttare SmokeLoader per distribuire payload attraverso nuove infrastrutture di comando e controllo.

Analisi e commenti

L'analisi del malware effettuata da Zscaler ThreatLabz sottolinea come gli sviluppatori di SmokeLoader abbiano costantemente migliorato le sue capacità, integrando nuove funzionalità e tecniche di offuscamento per ostacolare le analisi. Fortinet, in un report condiviso con The Hacker News, evidenzia la necessità per gli analisti di mantenere alta l'attenzione anche quando si ha a che fare con malware ben noti come SmokeLoader, a causa della sua flessibilità nell'eseguire attacchi tramite i suoi plugin.